La sicurezza migliora ma rimangono da affrontare nuovi tipi di vulnerabilità. La constatazione arriva dai Barracuda Labs di Barracuda Networks che, in tema IoT, non mancano di sottolineare l’enorme cambiamento apportato dall’Internet delle Cose nel modo di costruire e usare i prodotti.
L’esempio portato all’attenzione è quello di una telecamera di sicurezza IoT utilizzata per illustrare una nuova minaccia consistente nella compromissione delle credenziali sfruttando le vulnerabilità delle applicazioni web e mobili per compromettere il dispositivo in uso.
Compromettendo le credenziali IoT i malintenzionati possono sfruttare le vulnerabilità delle applicazioni web e mobili usate da certi dispositivi connessi per acquisire credenziali che, a loro volta, possono essere usate per visualizzare i feed video, impostare, ricevere, cancellare allarmi, rimuovere i video clip salvati nel cloud e leggere informazioni sull’account. Possono infine usare le credenziali per caricare sul dispositivo propri aggiornamenti firmware, modificandone le funzionalità e utilizzandolo per attaccare altri dispositivi sulla stessa rete.
Credenziali a rischio
Per illustrare la minaccia, i Barracuda Labs hanno recentemente condotto una ricerca con una telecamera di sicurezza connessa identificando varie vulnerabilità nell’ecosistema delle app web e mobili associate alla telecamera.
Sfruttando queste vulnerabilità, il team di Barracuda è stato in grado di eseguire i seguenti attacchi per acquisire credenziali e compromettere il dispositivo, il tutto senza una connessione diretta al dispositivo stesso.
Acquisizione delle credenziali dall’app mobile
Se un malintenzionato può intercettare il traffico verso l’app mobile usando una rete ostile o compromessa, può agevolmente acquisire la password.
Ecco come funziona:
- L’utente si connette mediante il telefono a una rete ostile/compromessa
- L’app della telecamera cerca di connettersi al server del fornitore via https
- La rete ostile/compromessa instrada la connessione sul server del malintenzionato, che userà il proprio certificato SSL e agirà da proxy per comunicare col server del fornitore
- Il server del malintenzionato a questo punto possiede un hash MD5 “unsalted” della password
- Il malintenzionato può anche intercettare le comunicazioni tra il server del fornitore e l’app
Acquisire le credenziali dall’app web
Questo tipo di attacco poggia sulla funzionalità che permette agli utenti di condividere con altri utenti l’accesso alla telecamera connessa. Per condividere un dispositivo, il ricevente deve avere un account valido con il fornitore IoT e il mittente deve conoscere lo user name del ricevente, che normalmente è un indirizzo email:
- Il malintenzionato incorpora un exploit XSS nel nome di un dispositivo e quindi condivide quel dispositivo con la vittima
- Quando la vittima si è collegata al proprio account usando l’app web, l’exploit XSS viene eseguito condividendo il token di accesso (memorizzato come variabile nell’app web) con il malintenzionato
- Possedendo il token di accesso, quest’ultimo può accedere all’account della vittima e a tutti i suoi dispositivi registrati
Con questo studio, i Barracuda Labs sono riusciti a compromettere un dispositivo IoT (la telecamera connessa) senza alcuna connessione diretta al dispositivo stesso; ciò semplifica molto la vita ai malintenzionati.
Non è necessario fare scansioni con Shodan alla ricerca di dispositivi vulnerabili: è sufficiente che l’attacco sia rivolto all’infrastruttura del fornitore. È una minaccia che può colpire anche altri tipi di dispositivi IoT, indipendentemente dalla loro funzione, in quanto approfitta del modo in cui il dispositivo comunica con il cloud. Dopo tutto, i bug non sono inerenti al prodotto ma piuttosto ai processi, alle conoscenze e alla consapevolezza degli sviluppatori. Se l’accesso e il controllo degli accessi per i dispositivi IoT dipendono dai servizi cloud, lo stesso vale per le vulnerabilità, rendendo così possibili i tipi di attacco scoperti dai Barracuda Labs.
Una lezione per gli sviluppatori
I fornitori che creano soluzioni IoT devono proteggere tutti gli aspetti delle applicazioni usate per interagire con questi dispositivi. Questi ultimi sono sensori distribuiti nelle case, nelle scuole e negli uffici e sono potenziali punti di ingresso per i malintenzionati. La rete di ogni cliente è un potenziale punto di accesso al server e agli altri clienti.
Un firewall applicativo, una delle protezioni più importanti che i fornitori IoT devono implementare, è progettato per proteggere i server dal traffico HTTP al layer 7. Devono inoltre potenziare le protezioni nei confronti degli attacchi al livello di rete e di phishing.
Altrettanto importante è la sicurezza cloud, in grado di garantire visibilità, protezione e sanificazione delle applicazioni IoT e delle infrastrutture su cui girano. La possibilità di attacchi Lateral Movement è alta ed è importante prendere tutte le precauzioni possibili.
Come proteggersi
Quando acquistano un dispositivo IoT, i consumatori devono tenere in considerazione la sicurezza, non solo la comodità e il prezzo:
- Scegliere il produttore: alcune delle aziende che producono dispositivi IoT hanno familiarità con la sicurezza del software. La maggior parte, invece, sono o aziende già esistenti la cui esperienza sta nel costruire i prodotti fisici che verranno connessi, o startup che cercano di portare i dispositivi sul mercato il più in fretta possibile. In entrambi i casi, spesso le misure adeguate di sicurezza della rete e del software sono trascurate.
- Verificare se esistono vulnerabilità negli altri dispositivi dello stesso fornitore: se un dispositivo ha una vulnerabilità è probabile che altri dispositivi simili dello stesso fornitore abbiano le stesse vulnerabilità. Se un fornitore vanta un passato di dispositivi sicuri, probabilmente continuerà a proporre dispositivi sicuri.
- Valutare le risposte alle vulnerabilità passate: se un fornitore reagisce prontamente alle segnalazioni da parte degli utenti e risolve rapidamente la situazione con aggiornamenti del firmware, ciò depone a favore del suo atteggiamento nei confronti della sicurezza dei prodotti futuri.
Sfortunatamente, la quantità di informazioni disponibili sulla sicurezza dei dispositivi IoT è sorprendentemente bassa. Idealmente, dovremmo avvicinarci a un mondo in cui tutti i prodotti IoT hanno una valutazione della sicurezza, come avviene per le auto. I consumatori, comunque, dovrebbero sempre informarsi prima di investire in dispositivi IoT.